一种多节点蜜罐系统及其数据分析方法技术方案

本发明专利技术公开了一种多节点蜜罐系统及其数据分析方法，所述多节点蜜罐系统包括多个单节点蜜罐系统，所述多个单节点蜜罐系统互联形成网络拓扑结构；所述方法包括：获取各个单节点蜜罐系统的原始数据；利用主成分分析法对所述原始数据进行特征筛选，得到中间数据；对所述中间数据进行聚类分析以及监督学习，得到多个簇，其中，每个簇包括多个实例；在各个所述簇内针对恶意攻击命令进行关联规则提取；将提取出的关联规则作为攻击特征存储至特征标注集中。

A multi node honeypot system and its data analysis method

The invention discloses a multi node honeypot system and data analysis method, the multi node honeypot system comprises a plurality of single node honeypot system, the plurality of nodes interconnected to form a single honeypot system network topology structure; the method comprises the following steps: the raw data of each single node of the honeypot system; analysis of characteristics the selection of original data by using principal component to obtain the intermediate data; the intermediate data clustering and supervised learning, multiple clusters, where each cluster consists of multiple instances; in each of the clusters for malicious attacks command to extract association rules; association rules will be extracted as the feature storage to attack marked features of concentration.

【技术实现步骤摘要】
一种多节点蜜罐系统及其数据分析方法
本专利技术涉及工业控制系统安全
，尤其涉及一种面向工业控制系统安全的多节点蜜罐系统及其数据分析方法。
技术介绍
利用蜜罐模拟特定设备吸引攻击，进而分析攻击方式提取攻击签名和指纹是安全领域的普遍且成熟的解决方案。但在新兴的工业安全领域，仅有CONPOT、XPOT、DIGITALBONDSCADAHONEYNET等为数不多的蜜罐以单节点的方式基于特定的工业控制协议(如Modbus、SiemensS7Comm)模拟单个可编程逻辑控制(PLC，ProgrammableLogicController)设备。CONPOT作为当下主流的开源低交互工业控制蜜罐，通过内嵌Modbus、SiemensS7Comm等协议并开放特定的502、102端口等，实现在主机上模拟单个PLC设备。XPOT支持PLC程序编译和解释，支持专有S7通信协议和简单网络管理协议。同时为了对抗Nmap这样的操作系统(OS，OperatingSystem)指纹识别工具，XPOT模拟可参考的PLC网络协议堆栈实现高交互单节点蜜罐仿真功能。DIGITALBONDSCADAHONEYNET则因为仿真的协议过于陈旧，无人维护，且为低交互蜜罐无法欺骗及吸引攻击者攻击。当下的所有解决方案都着眼于提高单节点的蜜罐仿真能力，对于实际工业系统而言，几乎不存在单一独立的PLC设备。尤其是在工业4.0到来之后，大量的设备联网，形成工业控制设备网暴露在互联网上。单个模拟工控设备的蜜罐即使仿真程度再高，也不可能吸引攻击者的扫描和读写操作。此外，蜜罐的最终目的是为了提取出关键的扫描及攻击签名指纹，如今工业界和科研界还没有可实现的针对PLC设备及系统的扫描攻击特征提取方法。
技术实现思路
为解决上述技术问题，本专利技术实施例提供了一种多节点蜜罐系统及其数据分析方法。本专利技术实施例提供的多节点蜜罐系统的数据分析方法，包括：获取各个单节点蜜罐系统的原始数据；利用主成分分析法对所述原始数据进行特征筛选，得到中间数据；对所述中间数据进行聚类分析以及监督学习，得到多个簇，其中，每个簇包括多个实例；在各个所述簇内针对恶意攻击命令进行关联规则提取；将提取出的关联规则作为攻击特征存储至特征标注集中。本专利技术实施例中，所述获取各个单节点蜜罐系统的原始数据，包括：获取各个单节点蜜罐系统接收到的数据包，所述数据包包括网络流量信息和恶意攻击命令，其中，所述网络流量信息至少包括：源IP地址、源端口、目的IP地址、目的端口、时间戳；将预设时间段内具有相同源IP地址以及相同目的端口的所有数据包作为一个实例，其中，所述实例的属性信息至少包括：源IP地址、目的端口、时间戳、包头、包长、恶意攻击命令；通过所有的实例组成所述原始数据。本专利技术实施例中，所述对所述中间数据进行聚类分析，得到多个簇，包括：依据所述中间数据的如下信息，对所述中间数据进行k-中心点聚类：时间戳、包头、包长、源IP地址；依据所述中间数据的恶意攻击命令，对所述中间数据进行短文本聚类；基于所述k-中心点聚类对应的权重和所述短文本聚类对应的权重，将所述中间数据划分为多个簇。本专利技术实施例中，所述对所述中间数据进行监督学习，得到多个簇，包括：根据威胁情报信息确定出攻击特征；对所述攻击特征进行标注，生成特征标注集；根据所述特征标注集对所述中间数据进行模式分类，得到多个簇。本专利技术实施例中，同一个簇内的每个实例包括一个或多个恶意攻击命令。本专利技术实施例提供的多节点蜜罐系统，包括：多个单节点蜜罐系统、统一管理系统，所述多个单节点蜜罐系统互联形成网络拓扑结构；其中，所述统一管理系统，用于获取各个单节点蜜罐系统的原始数据；利用主成分分析法对所述原始数据进行特征筛选，得到中间数据；对所述中间数据进行聚类分析以及监督学习，得到多个簇，其中，每个簇包括多个实例；在各个所述簇内针对恶意攻击命令进行关联规则提取；将提取出的关联规则作为攻击特征存储至特征标注集中。本专利技术实施例中，所述统一管理系统包括：数据获取模块，用于获取各个单节点蜜罐系统接收到的数据包，所述数据包包括网络流量信息和恶意攻击命令，其中，所述网络流量信息至少包括：源IP地址、源端口、目的IP地址、目的端口、时间戳；将预设时间段内具有相同源IP地址以及相同目的端口的所有数据包作为一个实例，其中，所述实例的属性信息至少包括：源IP地址、目的端口、时间戳、包头、包长、恶意攻击命令；通过所有的实例组成所述原始数据。本专利技术实施例中，所述统一管理系统包括：第一数据分析模块，用于依据所述中间数据的如下信息，对所述中间数据进行k-中心点聚类：时间戳、包头、包长、源IP地址；依据所述中间数据的恶意攻击命令，对所述中间数据进行短文本聚类；基于所述k-中心点聚类对应的权重和所述短文本聚类对应的权重，将所述中间数据划分为多个簇。本专利技术实施例中，所述统一管理系统包括：第二数据分析模块，用于根据威胁情报信息确定出攻击特征；对所述攻击特征进行标注，生成特征标注集；根据所述特征标注集对所述中间数据进行模式分类，得到多个簇。本专利技术实施例中，同一个簇内的每个实例包括一个或多个恶意攻击命令。本专利技术实施例的技术方案，多节点蜜罐系统包括多个单节点蜜罐系统，所述多个单节点蜜罐系统互联形成网络拓扑结构。通过统一管理系统获取各个单节点蜜罐系统的原始数据；利用主成分分析法对所述原始数据进行特征筛选，得到中间数据；对所述中间数据进行聚类分析以及监督学习，得到多个簇，其中，每个簇包括多个实例；在各个所述簇内针对恶意攻击命令进行关联规则提取；将提取出的关联规则作为攻击特征存储至特征标注集中。采用本专利技术实施例的技术方案，1)通过一种多节点的网络拓扑结构来实现蜜罐系统，使用蜜罐系统模拟各种工业控制设备，从而捕获针对工业控制设备的攻击信息；2)对通过多节点蜜罐系统收集到的能够进行聚类分析以及规则匹配，得到针对工业控制系统的攻击特征。附图说明图1为本专利技术实施例的单节点蜜罐系统的示意图；图2为本专利技术实施例的多节点蜜罐系统的示意图一；图3为本专利技术实施例的多节点蜜罐系统的数据分析方法的流程示意图一；图4为本专利技术实施例的多节点蜜罐系统的数据分析方法的流程示意图二；图5为本专利技术实施例的多节点蜜罐系统的工作架构；图6为本专利技术实施例的多节点蜜罐系统的结构组成示意图二；图7为本专利技术实施例的计算机设备的结构组成示意图。具体实施方式为了能够更加详尽地了解本专利技术实施例的特点与
技术实现思路
，下面结合附图对本专利技术实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本专利技术实施例。本专利技术实施例的技术方案提出一种多节点蜜罐系统，该多节点蜜罐系统基于虚拟蜜罐技术搭建模拟工业控制系统。本专利技术实施例的技术方案中，为了适应多节点的拓扑架构，对单节点蜜罐系统做出相应修改。为了便于理解多节点蜜罐系统，下面先对单节点蜜罐系统进行解释说明，其中，单节点蜜罐系统用于模拟工业控制系统中的工业控制设备。图1为本专利技术实施例的单节点蜜罐系统的示意图，如图1所示，所述单节点蜜罐系统是在节点主机上通过虚拟蜜罐模拟出PLC设备，这里，PLC设备可以是工业控制设备。图1中描述的虚拟蜜罐有三个，当然，虚拟蜜罐的数目并不局限于三个，还可以是其他数目。通过这三个虚拟蜜罐在节点主机上分别模拟出PLC设备本文档来自技高网...

【技术保护点】
一种多节点蜜罐系统的数据分析方法，其特征在于，所述多节点蜜罐系统包括多个单节点蜜罐系统，所述多个单节点蜜罐系统互联形成网络拓扑结构；所述方法包括：获取各个单节点蜜罐系统的原始数据；利用主成分分析法对所述原始数据进行特征筛选，得到中间数据；对所述中间数据进行聚类分析以及监督学习，得到多个簇，其中，每个簇包括多个实例；在各个所述簇内针对恶意攻击命令进行关联规则提取；将提取出的关联规则作为攻击特征存储至特征标注集中。

【技术特征摘要】
1.一种多节点蜜罐系统的数据分析方法，其特征在于，所述多节点蜜罐系统包括多个单节点蜜罐系统，所述多个单节点蜜罐系统互联形成网络拓扑结构；所述方法包括：获取各个单节点蜜罐系统的原始数据；利用主成分分析法对所述原始数据进行特征筛选，得到中间数据；对所述中间数据进行聚类分析以及监督学习，得到多个簇，其中，每个簇包括多个实例；在各个所述簇内针对恶意攻击命令进行关联规则提取；将提取出的关联规则作为攻击特征存储至特征标注集中。2.根据权利要求1所述的多节点蜜罐系统的数据分析方法，其特征在于，所述获取各个单节点蜜罐系统的原始数据，包括：获取各个单节点蜜罐系统接收到的数据包，所述数据包包括网络流量信息和恶意攻击命令，其中，所述网络流量信息至少包括：源IP地址、源端口、目的IP地址、目的端口、时间戳；将预设时间段内具有相同源IP地址以及相同目的端口的所有数据包作为一个实例，其中，所述实例的属性信息至少包括：源IP地址、目的端口、时间戳、包头、包长、恶意攻击命令；通过所有的实例组成所述原始数据。3.根据权利要求1所述的多节点蜜罐系统的数据分析方法，其特征在于，所述对所述中间数据进行聚类分析，得到多个簇，包括：依据所述中间数据的如下信息，对所述中间数据进行k-中心点聚类：时间戳、包头、包长、源IP地址；依据所述中间数据的恶意攻击命令，对所述中间数据进行短文本聚类；基于所述k-中心点聚类对应的权重和所述短文本聚类对应的权重，将所述中间数据划分为多个簇。4.根据权利要求1或3所述的多节点蜜罐系统的数据分析方法，其特征在于，所述对所述中间数据进行监督学习，得到多个簇，包括：根据威胁情报信息确定出攻击特征；对所述攻击特征进行标注，生成特征标注集；根据所述特征标注集对所述中间数据进行模式分类，得到多个簇。5.根据权利要求1至4任一项所述的多节点蜜罐系统的数据分析方法，其特征在于，同一个簇内的每个...

【专利技术属性】
技术研发人员：李建欣，符式定，陈汉腾，李想，李博，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：北京,11